1/12
De Commissie voor de bescherming van de persoonlijke levenssfeer Beraadslaging STAT nr 03/2010 van 24 februari 2010
Betreft: Aanvraag van Expertisecentrum O&O Monitoring van de Vlaamse Gemeenschap (ECOOM UGent) om vanwege de Algemene Directie Statistiek en Economische Informatie mededeling te verkrijgen van gecodeerde microdata van de Enquête naar de arbeidskrachten (jaren 1999-2008) in het kader van een vergelijkend loopbanenonderzoek (arbeidsmarktpositie en loopbaananalyse van doctorandi en andere opleidingsniveaus) (STAT/MA/2009/031)
De Commissie voor de bescherming van de persoonlijke levenssfeer (hierna "de Commissie"); Gelet op de wet van 4 juli 1962 betreffende de openbare statistiek (hierna "wet openbare statistiek"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna "WVP"); Gelet op het koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992
tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna "koninklijk besluit van 13 februari 2001"); Gelet op het koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking
tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van ECOOM UGent ontvangen op 11/12/2009;
29/03/2010
BERSTAT03-2010DEF.DOCX
Beraadslaging STAT 03 /2010 - 2/12
Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Economie, KMO, Middenstand en Energie (Algemene Directie Statistiek en Economische Informatie) op 20/01/2010; Gelet op het technisch en juridisch advies ontvangen op 15/02/2010; Gelet op het verslag van de Voorzitter; Beslist op 24 februari 2010, na beraadslaging, als volgt:
I.
VOORWERP VAN DE AANVRAAG
1. De aanvraag strekt ertoe om Universiteit Gent (Vakgroep Sociologie–ECOOM), hierna de Onderzoeker genoemd, te machtigen om vanwege de Algemene Directie Statistiek en Economische
Informatie
(hierna
ADSEI)
mededeling
te
bekomen
van
gecodeerde
studiegegevens (EAK microdata 1999-2008) voor een onderzoek in het kader van een vergelijkend loopbanenonderzoek (arbeidsmarktpositie en loopbaananalyse van doctorandi en andere opleidingsniveaus). 2. De
aanvraag
strekt
er
tevens
toe
het
ingevolge
die
mededeling
af
te
sluiten
vertrouwelijkheidscontract tussen ADSEI en de Onderzoeker goed te keuren. II.
ONDERZOEK VAN DE AANVRAAG
A. TOEPASSELIJKE WETGEVING A.1.
Wet openbare statistiek
3. Op grond van de artikelen 15 en 15bis van de wet openbare statistiek is ADSEI bevoegd, na toestemming van het Statistisch Toezichtscomité en mits een vertrouwelijkheidscontract goedgekeurd is door datzelfde Comité, gecodeerde studiegegevens te leveren aan de in de wet openbare statistiek vermelde bestemmelingen onder de in de wet openbare statistiek gestelde voorwaarden. 4. Op grond van artikel 16 van het koninklijk besluit van 7 juni 2007 is de Commissie, tot de installatie en de benoeming van de leden van het Comité, belast met de opdrachten die aan het Comité worden toebedeeld door de wet openbare statistiek.
. . .
Beraadslaging STAT 03 /2010 - 3/12
A.2.
WVP en koninklijk besluit van 13 februari 2001
5. Op grond van artikel 1, § 1 van de WVP en artikel 1, 3° van het koninklijk besluit van 13 februari 2001 zijn gecodeerde studiegegevens betreffende geïdentificeerde of identificeerbare natuurlijke personen persoonsgegevens, waarvan de verwerking slechts mag gebeuren onder de in de WVP en het koninklijk besluit van 13 februari 2001 gestelde voorwaarden. B. RECHTSBASIS 6. De Onderzoeker is één van de in de wet openbare statistiek opgesomde bestemmelingen van gegevens, meer bepaald één in de zin van artikel 15, eerste lid, 4° van de wet openbare statistiek. 7. De Onderzoeker komt derhalve principieel in aanmerking om gemachtigd te worden de gevraagde gegevens te ontvangen. C. FINALITEIT 8. Persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen (artikel 4, § 1, 2° WVP). 9. De
gegevens
zijn
in
casu
bestemd
voor
statistische,
wetenschappelijke
en
beleidsondersteunende analyses en studiewerk met algemene relevantie. Bedoeling van het onderzoek : -
voor het jaar 2005: vergelijkende studie naar de arbeidsmarktposities, en -situatie (o.a. sectoren waarin men tewerkgesteld is) van de personen op beroepsleeftijd van verschillende opleidingsniveaus (op basis van de EAK-data) met de situatie van doctorandi (op basis van de Careers of Doctorate Holders-enquête) die werd uitgevoerd in 2005;
-
voor de jaren 1999-2008 (zie punt 13) : vergelijkende studie naar de arbeidsmarktposities en –situatie naar opleidingsniveau (doctorandi in vergelijking met respondenten met andere opleidingsniveaus) op basis van verschillende jaren (op basis van gepoolde EAK-data naar grotere cohorten om voldoende grote aantallen doctorandi te bekomen).
10. Deze doeleinden beantwoorden aan de voormelde vereisten van de WVP. 11. Op
grond
van
artikel
15
van
de
wet
openbare
statistiek
dienen
de
gecodeerde
persoonsgegevens te worden verkregen voor statistische of wetenschappelijke doeleinden.
Beraadslaging STAT 03 /2010 - 4/12
12. Volgens de beheersinstelling stelt de aanvraag op het vlak van finaliteit geen probleem. De Commissie sluit zich daarbij aan. D. GEGEVENS Gevraagde informatiegegevens 13. De gegevens betreffen jaarlijkse gegevens van de enquête naar de arbeidskrachten voor de jaren 1999 tot en met 2008 in het contract. In de aanvraag is echter sprake van 1999 tot en met 2009. De beheersinstelling ADSEI beperkt de aanvraag hier tot de beschikbare gegevens. De Commissie sluit zich aan bij het technisch en juridisch advies. E. PROPORTIONALITEIT E.1.
Ten overstaan van de noodzaak tot het verkrijgen van gecodeerde gegevens
14. De Onderzoeker mag de gecodeerde persoonsgegevens enkel ontvangen indien een verwerking van anonieme gegevens niet de mogelijkheid zou bieden de statistische of wetenschappelijke doeleinden die hij beoogt te verwezenlijken (artikel 4 WVP). 15. Enkel het gebruik van niet-geaggregeerde gegevens laat ter zake een zeer gedetailleerde analyse toe en de Commissie erkent bijgevolg de behoefte aan de gevraagde gecodeerde persoonsgegevens voor de beoogde onderzoeksdoelstellingen. Een mededeling van louter anonieme informatie kan hier niet volstaan. 16. De doeleinden rechtvaardigen dus de verwerking van gecodeerde persoonsgegevens.
Beraadslaging STAT 03 /2010 - 5/12
E.2.
Ten overstaan van de hoeveelheid aan gegevens
17. Volgens ADSEI, wordt de evenredigheid aangetoond per opgevraagde variabele. Niet alle variabelen maar enkel de variabelen die noodzakelijk zijn werden gevraagd. 18. De dataset die voor het onderzoek zal meegedeeld worden, is relevant en derhalve toereikend, ter zake dienend en niet overmatig in de zin van artikel 4, § 1, 3° van de WVP. E.3.
Levertermijn voor de gegevens
19. De gecodeerde studiegegevens (de gegevens tot en met 2008) zullen door ADSEI ter beschikking
worden
gesteld
binnen
30
dagen
na
het
ondertekenen
van
het
vertrouwelijkheidscontract. E.4.
Ten opzichte van de bewaartermijn van de gegevens
20. De bewaarduur van de gegevens is beperkt tot einde van de opdracht ECOOM UGent (2011). 21. Het technisch en juridisch advies aanziet deze bewaringstermijn als redelijk. De Commissie sluit zich hierbij aan. F. AANGIFTE 22. De Onderzoeker dient, voordat wordt overgegaan tot één of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van de gevraagde gecodeerde gegevens die voor de verwezenlijking van de vooropgestelde doeleinden bestemd zijn, daarvan aangifte te doen bij de Commissie. G. BEVEILIGING G.1.
Consulent inzake informatieveiligheid
23. De veiligheidsconsulent voor de Universiteit Gent (UGent) is Prof dr. Bart Sijnave, CIO van het Universitair Ziekenhuis Gent. Prof. Sijnave is niet verbonden aan de Directie ICT van de UGent noch aan de vakgroep Sociologie van de UGent of aan ECOOM en garandeert bijgevolg de nodige onafhankelijkheid in zijn rol als veiligheidsconsulent.
Beraadslaging STAT 03 /2010 - 6/12
G.2.
Veiligheidsbeleid
24. Volgens de aanvraag : -
de persoonsgegevens die worden verwerkt in het kader van deze aanvraag betreffen gegevens van jaarlijks 89.381 personen van 15 jaar en ouder (gekozen via representatieve steekproef). De risico's en veiligheidsbehoeften m.b.t. de verwerking van deze gegevens werden grondig geanalyseerd en in kaart gebracht. Het anonimiseren (coderen) gebeurt door ADSEI terwijl de verwerking van de geanonimiseerde gegevens gebeurt door onderzoekers van de vakgroep Sociologie van de UGent. De originele, niet geanonimiseerde persoonsgegevens zijn niet in het bezit van de betrokken onderzoekers van de vakgroep Sociologie en worden aldus op geen enkel moment in de uiteindelijke onderzoeksdatabank ingebracht. Alle medewerkers aan het onderzoek zullen een vertrouwelijkheidsovereenkomst ondertekenen ;
-
het veiligheidsbeleid van de UGent is opgesplitst in twee grote onderdelen. Enerzijds is er het fysieke veiligheidsbeleid (toegangscontrole voor gebouwen en lokalen) en anderzijds het ICT-veiligheidsbeleid (toegang tot Pc’s, servers, databanken, ...) ;
-
de diverse dragers waarbij persoonsgegevens betrokken zijn werden exhaustief opgelijst. De persoonsgegevens die in het kader van dit onderzoek worden verzameld, worden opgeslagen op server- en opslaginfrastructuur van de Faculteit Politieke en Sociale Wetenschappen van de UGent. Back-ups op externe media, andere dan deze gebruikt voor de algemene back-up van de server, worden niet toegelaten ;
-
alle personen die betrokken zijn bij de verwerking van de betreffende persoonsgegevens worden gewezen op de vertrouwelijkheids- en veiligheidsplichten bij de uitoefening van hun taak in het kader van de verwerking van de betreffende persoonsgegevens. Zowel interne als externe medewerkers zijn verplicht tot geheimhouding en nemen de verplichting op zich om op geen enkele wijze handelingen te treffen; die in strijd zijn met het recht op de bescherming van de persoonlijke levenssfeer van de personen van wie gegevens worden verzameld en verwerkt. Een sanctie is voorzien, in lijn met het algemene sanctiebeleid van de UGent, wanneer de gedragscode niet wordt nageleefd ;
-
de dragers van persoonsgegevens betreffen server- en opslaginfrastructuur die zich bevindt in het datacenter van de Faculteit Politieke en Sociale Wetenschappen. Dit datacenter is permanent fysisch afgesloten en enkel toegankelijk voor de personen die daartoe gemachtigd zijn. De fysieke toegang gebeurt door middel van een persoonlijke badge ;
-
de gegevens die zich op de server bevinden in het datacenter worden voor backupdoeleinden opgenomen in de centrale back-up van de UGent. Op die manier wordt maximaal vermeden dat persoonsgegevens verloren gaan bij een of andere calamiteit ;
Beraadslaging STAT 03 /2010 - 7/12
-
de netwerken waarmee de apparatuur die de persoonsgegevens verwerkt verbonden is, zijn op verschillende niveaus beveiligd (Firewalls, Access Control Lists, WEP-encryptie) ;
-
de lees- en schrijftoegang tot het databestand is beperkt tot Prof. dr. Ronan Van Rossem (hoofd ECOOM), één senior researcher (i.e. Drs. Katrien De Boyser), twéé junior researchers (i.e. Svetlana Jidkova en Hannelore De Grande) en de automatiseerder van ADSEI. De authenticatie van de gebruiker van het systeem waarop de gegevens gestockeerd worden, gebeurt op basis van een algemeen beschikbaar gebruikersbeheer binnen de UGent (UGent User Management gebaseerd op LDAP-technologie) ;
-
de toegangsmachtiging gebeurt op basis van het UGent gebruikers- en toegangsbeheer. Het gebruikersbeheer is gebaseerd op LDAP-technologie; het toegangsbeheer gebeurt specifiek binnen de applicatie ;
-
elke actie op eender welk IT-systeem dat aangesloten is op het netwerk van de UGent is slechts mogelijk mits op het betrokken systeem in te loggen met een persoonlijke gebruikersaccount.
Op
die
manier
maakt
een
gebruiker
steeds
onder
eigen
verantwoordelijkheid gebruik van een IT-systeem. Elke activiteit die door een gebruiker in een IT-systeem wordt uitgevoerd, wordt uitvoerig gelogd. In geval van vastgestelde onregelmatigheden is de gebruiker onweerlegbaar aansprakelijk voor zijn/haar activiteiten op het betrokken systeem ; -
elke aanpassing of upgrade aan het IT-systeem dat instaat voor de opslag en verwerking van de gegevens van de survey geeft aanleiding tot een (her-)evaluatie van de gegevensbeveiliging. De ingebruikname van een nieuw systeem geeft, naargelang de gevoeligheid
van de gegevens, aanleiding tot
uitgebreide testen, beschreven in
testprocedures ; -
in geval van veiligheidsincidenten bestaan de nodige procedures voor het afsluiten van de fysieke en logische toegang tot het betreffende IT-systeem. Interne informatiesessies garanderen dat de kennis van deze procedures bij de personen die ze moeten uitvoeren steeds actueel is ;
-
de documentatie inzake veiligheidsmaatregelen wordt regelmatig en indien nodig aangepast aan de werkelijke situatie en dit bv. ten gevolge van een upgrade of een aanpassing aan een IT-systeem of netwerk of ten gevolge van de invoering van een nieuw systeem.
25. Volgens het technisch en juridisch advies lijken de veiligheidsmaatregelen, zoals beschreven door de onderzoeker, voldoende. De Commissie deelt deze mening.
Beraadslaging STAT 03 /2010 - 8/12
G.3.
Verantwoordelijke natuurlijke persoon
26. De identiteit van de verantwoordelijke natuurlijke persoon werd meegedeeld. Deze persoon is persoonlijk verantwoordelijk voor het naleven van alle verplichtingen m.b.t. de uitvoering van de wet openbare statistiek, de WVP, hun uitvoeringsbesluiten, elke andere wettelijke of reglementaire bepaling tot bescherming van de persoonlijke levenssfeer, de bepalingen van de onderhavige beslissing van de Commissie, en de bepalingen van het vertrouwelijkheidscontract. G.4.
Scheiding van andere verwerkingen
27. De Onderzoeker dient onderhavige gegevensverwerking voor de bedoelde doeleinden gescheiden te houden van de andere verwerkingen van persoonsgegevens waarvoor hij eventueel verantwoordelijk is. G.5.
Verbod op decodering
28. De Onderzoeker dient er zich contractueel toe te verbinden alle mogelijke middelen te zullen inzetten om te vermijden dat de identiteit van de personen op wie de meegedeelde persoonsgegevens betrekking hebben, zou worden achterhaald. G.6.
Koppelverbod
29. De Onderzoeker mag geen pogingen ondernemen om de bekomen persoonsgegevens te koppelen aan persoonsgegevens die reeds met toepassing van andere machtigingen aan hem werden overgemaakt. G.7.
Vertrouwelijkheid
30. De Onderzoeker verbindt er zich toe de vertrouwelijkheid van de studiegegevens in acht te nemen en ervoor te zorgen dat de studiegegevens uitsluitend gebruikt worden door leden van zijn/haar eigen personeel, met het oog op de uitvoering van het bedoelde onderzoek. G.8.
Personen die de studiegegevens gebruiken en de lijst van deze personen
31. Een aantal gegevens uit de dataset kunnen dus zonder meer beschouwd worden als persoonsgegevens in de zin van artikelen 6 tot 8 van de WVP.
Beraadslaging STAT 03 /2010 - 9/12
32. De Onderzoeker moet, gelet op de gevoelige aard van deze gegevens, hoofdstuk III van het koninklijk besluit van 13 februari 2001 naleven, hetzij: -
een lijst opstellen waarop de (categorieën van) personen vermeld worden die de meegedeelde gegevens zullen gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van de Commissie gehouden worden (zie punt 24) ;
-
deze personen moeten door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen. Minstens zullen deze personen een verklaring ondertekenen waarin zij zich hiertoe verbinden (zie punt 24) ;
-
de veiligheid en het vertrouwelijk karakter van de informatiegegevens moten bewaard worden (zie punt 24) ;
-
in de aangifte van de geautomatiseerde verwerking van de verkregen gegevens wordt melding gemaakt van de wet of verordening op grond waarvan de verwerking van dergelijke persoonsgegevens is toegestaan.
H. ANDERE GEBRUIKSVOORWAARDEN H.1.
Verspreiding resultaten
33. De stukken vermelden dat de data geanonimiseerde (lees gecodeerde) microdata zijn. Er wordt in de analyses bovendien gewerkt met cohorten en gepoolde data. Zo wordt de kans op identificatie van de respondent onbestaande. De rapportering van data gebeurt ook enkel in geaggregeerde vorm. 34. De beheersinstelling ADSEI merkt nog op dat de term ‘geanonymiseerde gegevens’ dient gewijzigd worden in ‘gecodeerde gegevens’ en laat geen indirecte identificatie toe. De studie wil doctorandi bestuderen en poolt daarom verschillende jaren. Gegevens op basis van 1 jaar laten inderdaad niet toe om op te delen naar verschillende variabelen. De Commissie sluit zich hierbij aan. 35. De Onderzoeker moet er inderdaad voor zorgen dat, na analyse en gebruik van de gegevens, de gepubliceerde resultaten anoniem en globaal blijven, zodat de individuele gegevens er niet rechtstreeks of onrechtstreeks uit geïdentificeerd kunnen worden. De resultaten mogen dus enkel onder globale en naamloze vorm worden verspreid. 36. Tenminste vijftien dagen vóór de verspreiding moet de Onderzoeker de voorgenomen publicatie overigens aan ADSEI ter inzage voorleggen.
Beraadslaging STAT 03 /2010 - 10/12
H.2.
Wetenschappelijk doel, wetenschappelijke normen en analysemethoden
37. Volgens ADSEI wordt bij de analyse met gepoolde data en cohorten gewerkt. De data worden in geaggregeerde vorm gepubliceerd en het onderzoeksproject beantwoordt aan de geldende wetenschappelijke normen. 38. Voor zover de Commissie kon oordelen kan de wetenschappelijkheid van zowel de finaliteit als de methodologie van het onderzoeksproject dus niet betwist worden. H.3.
Controle
39. De Onderzoeker stemt er uitdrukkelijk mee in dat vertegenwoordigers van de Commissie, te allen tijde zonder voorafgaande ingebrekestelling toegang krijgen tot de lokalen en tot de informatica-infrastructuur waar de verstrekte gegevens worden bewaard, om na te gaan of de bepalingen van de beslissing van de Commissie, de bepalingen van de wet openbare statistiek en haar uitvoeringsbesluiten, alsook de bepalingen van het vertrouwelijkheidscontract worden uitgevoerd. 40. Op eenvoudig verzoek kan de Commissie toegang krijgen tot andere lokalen en ICT-systemen om te controleren of er geen inbreuk gepleegd wordt op de bepalingen van de beslissing van de Commissie, de bepalingen van de wet openbare statistiek en haar uitvoeringsbesluiten en de bepalingen van het vertrouwelijkheidscontract. I. HET VERTROUWELIJKHEIDSCONTRACT 41. De
studiegegevens
worden
medegedeeld
aan
de
Onderzoeker
krachtens
een
vertrouwelijkheidscontract tussen ADSEI en de Onderzoeker. 42. Het vertrouwelijkheidscontract, dat als bijlage werd gevoegd bij de aanvraag tot mededeling van de gegevens, legt de voorwaarden vast waaronder de gegevens door ADSEI doorgegeven en door de Onderzoeker gebruikt mogen worden.
Beraadslaging STAT 03 /2010 - 11/12
43. Het vertrouwelijkheidscontract bevat minstens de wettelijk verplichte vermeldingen als bepaald in artikel 15bis wet openbare statistiek, waaronder de duur van het vertrouwelijkheidscontract, die, in de ogen van de Commissie, wordt gesloten tot december 2011. Dit laatste betekent geenszins dat na afloop van deze contractuele termijn, de vertrouwelijkheid van de gegevens zelf mag worden doorbroken. Die laatste moet dus onbeperkt in de tijd worden gerespecteerd. 44. De contractuele bepalingen die te maken hebben met privacy en vertrouwelijkheid die in het vertrouwelijkheidscontract staan, zijn opgenomen in onderhavige beslissing van de Commissie, waardoor personen vreemd aan het vertrouwelijkheidscontract zich ook kunnen wenden tot de Commissie, die aldus de naleving van de voorwaarden waaronder de gegevens door de Onderzoeker gebruikt mogen worden kan controleren. III.
ALGEMEEN BESLUIT
45. De Onderzoeker dient bij de verwerking van de verkregen persoonsgegevens rekening te houden met de WVP, de wet openbare statistiek, hun uitvoeringsbesluiten en elke andere wettelijke of reglementaire bepaling tot bescherming van de persoonlijke levenssfeer, de bepalingen van de onderhavige beslissing van de Commissie, en de bepalingen van het vertrouwelijkheidscontract tussen ADSEI en de Onderzoeker. IV.
SPECIFIEK BESLUIT
46. De Commissie is van oordeel dat: -
de mededeling door ADSEI van de gevraagde gecodeerde studiegegevens (1999-2008) aan de ECOOM UGent toegelaten is met het oog op de voormelde finaliteiten;
-
de onderzoeksduur, de bewaarduur van de gegevens en dus de duur van het vertrouwelijkheidscontract beperkt is tot december 2011, na afloop waarvan de vertrouwelijkheid van de gegevens zelf onbeperkt in de tijd moet worden gerespecteerd ;
-
de Onderzoeker, gelet op de aard van sommige gegevens in de gevraagde dataset, hoofdstuk III van het koninklijk besluit van 13 februari 2001 moet naleven ;
-
er dient een vertrouwelijkheidscontract te worden gesloten tussen ADSEI en elk van de universiteiten die toegang krijgen tot de door ECOOM verkregen gegevens.
Beraadslaging STAT 03 /2010 - 12/12
OM DEZE REDENEN, De Commissie, machtigt
ADSEI
om
de
hogervermelde
persoonsgegevens
onder
de
hogervermelde
voorwaarden mee te delen aan ECOOM UGent ; keurt het vertrouwelijkheidscontract dat er bij hoort onder de hogervermelde voorwaarden goed.
Voor de Administrateur m.v.,
De Voorzitter,
(get.) Patrick Van Wouwe
(get.) Willem Debeuckelaere